Audit-Dateisystemregeln in RHEL/CentOS/Rocky Linux legen fest, welche Vorgänge protokolliert werden sollen und welche nicht. Durch das Erstellen und Verwalten dieser Regeln können Sie den Detaillierungsgrad und die Sensibilität der vom System generierten Prüfprotokolle steuern.
Führen Sie die folgenden Schritte aus, um Audit-Dateisystemregeln in RHEL/CentOS/Rocky Linux zu definieren:
1. Öffnen Sie ein Terminalfenster.
2. Verwenden Sie den folgenden Befehl, um eine neue Audit-Dateisystemregel zu erstellen:
„
auditctl -a
„
Wo:
* „“ geben die Bedingungen an, unter denen die Regel ausgelöst werden soll. Zu den häufigsten Optionen gehören:
* „-w“:Beobachten Sie den angegebenen Pfad auf Änderungen.
* „-p“:Geben Sie die zu überwachenden Berechtigungen an.
* „-k“:Geben Sie einen Schlüsselnamen für die Regel an. Dieser Schlüssel wird verwendet, um in den Überwachungsprotokollen nach der Regel zu suchen.
* „“ ist der absolute Pfad zu dem Verzeichnis oder der Datei, die Sie prüfen möchten.
3. Um beispielsweise das Verzeichnis „/etc“ auf Änderungen zu überwachen und alle Versuche, Dateien in diesem Verzeichnis zu ändern, zu löschen oder zu erstellen, zu protokollieren, verwenden Sie den folgenden Befehl:
„
auditctl -w /etc -p wa
„
4. Sobald die Regel erfolgreich erstellt wurde, können Sie sie mit dem folgenden Befehl überprüfen:
„
auditctl -l
„
5. Dieser Befehl listet alle aktiven Überwachungsregeln auf, einschließlich der gerade erstellten.
6. Sie können Prüfregeln auch mit dem Befehl „auditctl“ mit den Optionen „-e“ und „-d“ ändern oder löschen.
Durch das Definieren und Verwalten von Audit-Dateisystemregeln können Sie sicherstellen, dass Ihr System die für Sie wichtigsten Ereignisse protokolliert und dass die vom System generierten Audit-Protokolle korrekt und vollständig sind. Diese Informationen können im Falle eines Sicherheitsvorfalls oder einer Compliance-Prüfung von unschätzbarem Wert sein.
